Une faille dans le site Web d'une application électorale permettant de consulter les informations d’identité des électeurs israéliens a exposé les informations personnelles de 6,5 millions de personnes habilitées à voter au cours des prochaines élections nationales qui auront lieu dans trois semaines dans le pays. L’application mobile, baptisée Elector, est destinée à gérer l'approche et le suivi des électeurs du parti Likoud pour les élections du 2 mars, selon le journal israélien Haaretz, qui a publié pour la première fois le dimanche un article sur la faille.
Le programmeur indépendant, auteur de l’article publié sur le site Web du journal, aurait repéré cette brèche au cours du week-end dernier qui aurait potentiellement exposé des informations, y compris les noms complets, les numéros de carte d'identité, les adresses et le sexe de chaque électeur éligible en Israël, ainsi que les numéros de téléphone et autres détails personnels de certains d'entre eux, selon Haaretz. En effet, les partis politiques israéliens reçoivent les données personnelles des électeurs avant les élections et s'engagent à les protéger, ainsi qu'à ne pas reproduire le registre, à ne pas le fournir à un tiers et à effacer définitivement toutes les informations une fois l'élection terminée.
La faille de sécurité était liée à l’application mobile Elector utilisée par le Premier ministre Benjamin Netanyahu et son parti, le Likoud, pour communiquer avec les électeurs, leur offrant des nouvelles et des informations sur les prochaines élections. Le registre des électeurs a été téléchargé par le parti dans l'application à cet effet. Selon le journal, jusqu'à ce que la vulnérabilité soit réparée, elle permettait, à toute personne sans compétences techniques avancées, de visualiser et de télécharger l'ensemble du registre des électeurs du gouvernement.
Selon le journal, on ignore combien de personnes ont eu accès à ces données et les ont téléchargées. Cependant, l'application a des utilisateurs dans divers pays à l'étranger, dont les États-Unis, la Chine, la Russie et la Moldavie. Les détails sur la manière dont la faille s'est produite ne sont pas encore connus, mais l'Autorité israélienne de protection de la vie privée, une unité du ministère de la Justice, a déclaré qu'elle examinait la question - sans toutefois annoncer une enquête à part entière, d’après le New York Times qui a rapporté l’information.
Quant à la société qui a développé l'application, Feed-b, elle a minimisé les conséquences potentielles de la faille, en indiquant que la vulnérabilité était un « incident ponctuel qui a été immédiatement traité », et que les mesures de sécurité sur le site Web ont été renforcées depuis. Le système permet l'envoi de messages textuels et la gestion des données relatives aux électeurs et aux bureaux de vote.
Un clic droit sur la page d'accueil de l'application Elector permettait aux utilisateurs de voir le code original de la page Web
Le problème avec le site Web de l’application Elector, selon les explications Ran Bar-Zik, le programmeur qui a révélé la brèche, est la facilité déconcertante avec laquelle les informations sur les électeurs pouvaient être consultées sans compétences particulières en informatique, a rapporté le NYT. En effet, un clic droit sur la page d'accueil de l'application puis le choix de l’option "view source" ont révélé le code original de la page Internet.
Selon le développeur, le code de la page accessible comprenait les noms d'utilisateur et les mots de passe des administrateurs du site ayant accès au registre des électeurs, et l'utilisation de ces identifiants aurait permis à quiconque de visualiser et de télécharger les informations. Bar-Zik, développeur de logiciels pour Verizon Media qui a écrit l'article, a déclaré qu'il avait choisi le nom et le mot de passe de l'administrateur du parti Likoud, s'était connecté avec et a eu accès l’ensemble des données des électeurs israéliens.
Bar-Zik a déclaré avoir reçu l’information sur le problème vendredi soir dans un message envoyé en anglais à Cybercyber, un podcast qu'il héberge avec deux collègues, et comme preuve, l'informateur a inclus les propres informations de Bar-Zik provenant du registre des électeurs, ainsi que celles de sa femme et de son fils. « Quand nous parlons de piratage, nous imaginons des gens en sweat à capuche faisant des trucs techniques », a-t-il dit, mais dans ce cas, aucune compétence de piratage n'était nécessaire. « C'était effrayant », a-t-il ajouté.
Ce n’est pas la première fois que des gouvernements et des entreprises du monde entier ont démontré leur limite en ce qui concerne la protection des informations privées des citoyens ainsi que des systèmes vitaux contre les cyberattaques. Cette dernière faille a été découverte à moins d'une semaine après qu'une autre application ait contribué à la défaillance du caucus présidentiel démocrate en Iowa, jetant de sérieux doutes sur les chiffres qui ont été communiqués tardivement. Cette application avait été développée en privé pour le parti, n'avait pas été testée par des experts indépendants, n’avait pas fait l’objet de formation et avait été gardée secrète par le parti jusqu'à des semaines avant les caucus.
Bien que des compétences techniques n’étaient pas nécessaires pour accéder aux données exposées par Elector, mais les opérations de piratage beaucoup plus avancées ont également eu raison des systèmes des gouvernements. En 2019, les informations financières de plus 5 millions de personnes en Bulgarie ont été volées dans une base de données gouvernementale et rendues publiques par des pirates informatiques soupçonnés d'être russes.
Trois hôpitaux en Alabama et sept en Australie ont vu également leur capacité d'utiliser leurs systèmes informatiques limitée par des attaquants aux ransomwares l’année dernière, affectant ainsi la possibilité d’admettre de nouveaux patients dans leurs unités de soins. Les cyberattaques contre des entreprises comme l'agence de crédit Equifax, la compagnie hôtelière Marriott International et Yahoo ont exposé les données personnelles d'un grand nombre de personnes.
Une faille qui suscite des inquiétudes quant au vol d'identité et à la manipulation électorale
Haaretz a rapporté en citant le quotidien économique TheMarker qu’au cours de ces derniers jours, l'application Elector, que les partis Shas et Yisrael Beiteinu utilisent également, a permis la création de bases de données qui violent la loi sur la protection de la vie privée, car elle invite les utilisateurs à fournir des informations supplémentaires sur les noms de leurs connaissances susceptibles de voter pour le Likoud - y compris leur numéro de téléphone (qui ne figure pas dans le registre des électeurs). Selon le journal, les défenseurs de la vie privée avaient mis en garde contre l'utilisation de l'application avant même la fuite.
Les bases de données répertoriant les informations personnelles des citoyens peuvent être exploitées à des fins diverses, notamment par des criminels cherchant à gagner de l'argent grâce au vol d'identité, ou par des pirates informatiques soutenus par des États étrangers cherchant à espionner ou à influencer les électeurs israéliens à seulement trois semaines d'une élection cruciale. Selon Haaretz, la dernière violation des données gouvernementales comparables en Israël a eu lieu en 2006, lorsqu'un employé du ministère de l'Intérieur a volé le registre de la population et l'a ensuite publié.
« C'est un trésor pour les pays étrangers ayant des intérêts géostratégiques en Israël », a déclaré Tehilla Shwartz Altshuler, responsable du projet de réforme des médias à l'Institut israélien de la démocratie, un groupe de réflexion non partisan à Jérusalem, à Channel 12 news.
Les responsables de la cybersécurité dans le monde entier ont averti qu'il valait mieux que ces énormes bases de données ne soient pas entre les mains des responsables des élections et des partis politiques. La plupart recommandant que les nouvelles technologies, y compris les machines à voter et les applications utilisées par les partis politiques, soient testées pendant des mois, voire des années, avant d'être déployées au public.
Dr Anat Ben David, maître de conférences au département de sociologie, de sciences politiques et de communication de l'Open University, et Nir Yasur, expert en analyse des systèmes d'information, ont examiné le système et découvert que n'importe qui pouvait télécharger l'application, l'utiliser et identifier facilement un utilisateur existant, d’après Haaretz. À la suite de ces découvertes, les avocats Shahar Ben-Meir et Yitzhak Aviram ont demandé à la Commission électorale centrale d'émettre une ordonnance de restriction temporaire contre l'utilisation de l'application.
Selon un commentateur du sujet, en Floride, « une fois déposées, à quelques exceptions près, toutes les informations relatives à l'inscription sur les listes électorales sont du domaine public, y compris votre nom, votre adresse, votre date de naissance, votre appartenance à un parti, votre numéro de téléphone et votre adresse électronique ». Selon lui, il existe de nombreux sites Web qui vous permettent de rechercher rapidement ces informations sur n'importe qui dans l'État. Il est tout de même difficile de croire que cela se produise réellement au XXIe siècle, où les nouvelles technologies et les systèmes de sécurité sont beaucoup plus avancés.
Source : Haaretz
Et vous ?
Qu’en pensez-vous ?
Pourquoi, selon vous, les institutions gouvernementales continuent d’exposer des données sensibles malgré de nombreux cas précédents ?
Lire aussi
Des hackers volent des données médicales de 15 millions de patients, puis les revendent au laboratoire qui les détenait
Un ransomware oblige 3 hôpitaux à refuser tous les patients sauf ceux qui sont dans un état plus critique, ces hôpitaux ont vu la capacité d'utiliser leurs systèmes informatiques limitée par l'attaque
Piratage de données financières de la Bulgarie : la nation entière a été frappée, les données de plus de 5 millions de personnes rendues publiques
Equifax s'est servi du mot « admin » comme identifiant et mot de passe pour accéder à des informations sensibles, avant le piratage massif de 2017
Les données personnelles de tous les 6,5 millions d'électeurs israéliens exposées
Dans une application électorale non sécurisée utilisée par un parti politique, d'après un rapport
Les données personnelles de tous les 6,5 millions d'électeurs israéliens exposées
Dans une application électorale non sécurisée utilisée par un parti politique, d'après un rapport
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !